Re: An welche denkst du?
Geschrieben von Manuel [ER] am 14. Dezember 2013 13:38:13:
Als Antwort auf: Re: An welche denkst du? geschrieben von Peter vdl am 14. Dezember 2013 12:28:18:
Hi Peter,
>>>>
Scheinbar fahre ich aber ganz gut mit meinen Strategien, denn selbst mit weichen Passwörtern und ohne Virenscanner hatte ich bisher noch keine Malware auf dem Rechner, trotz teilweise intensivem Internetgebrauch ohne Firewall.
<<<<Die richtig guten cracker merkst du gar ned. Muahaha ! Wenn mal jemand grad an deiner Kiste was neues ausprobiert, das erkennt logischerweise kein root kit scanner usw. Wenn nicht grad in leicht zu findenen Pfaden wie /bin sondern in /usr/share/doc/libkmod2/./aetsch_ausgelacht was verdächtiges ist.... find das erstmal. Unmöglich wenn auch noch "ls" "ps" "cd" "md5" usw nicht mehr die originalen programme sind. Diese und andere Programme zu manipulieren ist sowiso das aller erste was jeglicher ernst zu nehmender cracker macht. rkhunter oder wie se alle heißen, die kennt der cracker ja auch und werden entsprechend gepatcht.
Manchmal hilft es selber heimlich Kopien von wichtigen Systemprogrammen irgendwo abzulegen, genauso wie es cracker auch machen würden. Diese müssen natürlich statisch gelinkte versionen sein damits was bringt. In dem Zusammenhang macht für mich ein root kit scanner erst Sinn. Wenn der kernel manipuliert wurde ist, dann hat man aber eh keine Chance was zu merken.
Einfach mal das Netzwerk von einem anderem Rechner aus beobachten ist zwar etwas müßsehlig, aber hilfreich. Ethereal, oder heut heißts glaub ich Wireshark nehmen einem dabei viel Arbeit ab. Auch ganz nett: Etherape.
Nochwas: zufällige Funde hat rkhunter oder chkrootkit nicht immer erkannt.
Grüße,
Manuel
- Re: An welche denkst du? Peter vdl 14.12.2013 16:01 (0)